gpt4 book ai didi

Java 首选项本地安全存储

转载 作者:行者123 更新时间:2023-12-02 07:39:52 25 4
gpt4 key购买 nike

我正在寻找一种安全流程来在 Java 客户端应用程序中存储密码。我将使用 Preferences API存储数据客户端。

我希望我的客户端能够存储登录信息(登录名和密码)以加快下次登录速度。我不想让密码清晰,所以我会对其进行加密。客户端/服务器通信是通过 SSL 建立的,因此我可以在服务器端存储 key 。

我的第一个建议是,成功登录后,服务器向客户端发送一个 key 来加密他的密码,然后存储它。然后在下一个 session 打开时,客户端将其最后一个 session ID 发送回服务器,服务器通过解密 key 进行应答。

这可以使用私钥/公钥或仅使用一个 key 。

我认为它不安全,因为 session ID 将被明确存储,因此任何人都可以解密密码...

任何命题,都必须有一个经典的流程..?

提前致谢!

最佳答案

确实没办法。您希望计算机记住一个 secret ,以便用户无需与系统交互即可进行身份验证。您可以加密 secret 并自动解密,但这仍然可以通过计算机上的信息来完成。有权访问本地存储的攻击者将能够回放您实现的任何方案并检索密码。

钥匙串(keychain)系统是一种妥协方案,其中所有存储的用户密码都通过用户登录时生成的主密码进行加密,因此他只需要记住一个即可。但这超出了单个应用程序的范围。

关于Java 首选项本地安全存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11743877/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com